كشفت تقارير أمنية حديثة أن جهات تهديد مرتبطة بكوريا الشمالية، والمعروفة بحملة Contagious Interview، بدأت باستخدام مشاريع خبيثة في Visual Studio Code (VS Code) كطُعم لاستهداف المطورين. هذه المشاريع المزيفة تُزرع داخل مستودعات على منصات مثل GitHub وGitLab وBitbucket، وتُقدَّم للضحايا على أنها جزء من تقييم وظيفي أو اختبار تقني، لكنها في الواقع تحتوي على ملفات إعدادات (tasks.json) معدلة لتنفيذ أوامر خبيثة بمجرد فتح المشروع.
سلسلة العدوى عبر ملفات إعدادات VS Code
الهجوم يعتمد على استغلال ملفات المهام في VS Code لتشغيل حمولة ضارة مخزنة على نطاقات Vercel. يتم تفعيل الهجوم عند فتح أي ملف داخل المشروع، حيث يُنفذ كود JavaScript مشفّر يتواصل مع خادم خارجي ويجلب تعليمات إضافية. هذه التعليمات تؤدي إلى نشر برمجيات خلفية مثل BeaverTail وInvisibleFerret، التي تمنح المهاجمين قدرة على تنفيذ أوامر عن بُعد، جمع بيانات النظام، والتواصل المستمر مع خوادمهم.
في بعض الحالات، تم رصد برمجيات خبيثة متنكرة في شكل قواميس تدقيق إملائي لتجنب الشبهات، إضافة إلى تقنيات متقدمة مثل تشغيل أوامر خلفية على أنظمة macOS باستخدام nohup bash -c مع curl لحقن الحمولة مباشرة في بيئة Node.js.
أهداف الهجوم وقطاعات مستهدفة
المهاجمون المرتبطون بكوريا الشمالية يركزون بشكل خاص على المطورين العاملين في مجالات العملات المشفرة، البلوك تشين، والتكنولوجيا المالية، نظراً لامتلاكهم وصولاً مباشراً إلى محافظ رقمية وأصول مالية حساسة. اختراق حساباتهم يتيح الوصول إلى الشيفرات المصدرية، الملكية الفكرية، والأنظمة الداخلية، إضافة إلى سرقة الأصول الرقمية لدعم النظام الكوري الشمالي الخاضع للعقوبات.
وقد رُصدت حالات أخرى تضمنت نشر برمجية TsunamiKit مع أداة تعدين العملات المشفرة XMRig، إضافة إلى اعتماد طرق بديلة مثل تثبيت مكتبة npm خبيثة باسم grayavatar أو تشغيل وحدات Node.js متقدمة لجمع كلمات المرور، تسجيل ضغطات لوحة المفاتيح، التقاط صور للشاشة، واستبدال عناوين المحافظ الرقمية المنسوخة.
تطور مستمر في أساليب الهجوم
تشير التحليلات إلى أن هذه الحملات ليست ثابتة، بل تتطور باستمرار عبر دمج طبقات متعددة من البرمجيات الخبيثة، بما في ذلك بيئات Python موازية تتيح جمع البيانات وتثبيت أدوات وصول عن بُعد مثل AnyDesk. هذا التنوع في طرق النشر يعكس إصرار الجهات المدعومة من الدولة على دمج هجماتها داخل سير عمل المطورين الشرعيين، مما يزيد من فرص نجاحها ويصعّب اكتشافها.
